Spesso non esiste una via d’uscita semplice da un attacco ransomware, ma il modo in cui si risponde può fare una grande differenza nella quantità di danni inflitti. Questa guida ti mostrerà alcune delle migliori pratiche per una risposta al ransomware e come ridurre al minimo i danni e riportare il tuo sistema online nel modo più rapido e sicuro possibile.

 

Segni di un attacco ransomware

Se noti file sul tuo computer con nomi ed estensioni strani che non si aprono con nessun programma, ci sono buone probabilità che sia in corso un attacco ransomware. Di solito, il primo segno sicuro di un attacco ransomware è una schermata che annuncia che i tuoi file sono stati crittografati. Lo schermo potrebbe essere simile al seguente:

Recupero da ransomware Dharma

“Tutti i tuoi file sono stati crittografati!”

Questa è un’esperienza terribile e sempre più comune; Gli attacchi ransomware sono aumentati di oltre il 700% nel 2020. Se viene visualizzato un messaggio di questo tipo e si scopre che non è possibile accedere ai file, è molto probabile che l’intera rete sia compromessa. Il ransomware è spesso programmato per infettare il più possibile la rete prima di farsi conoscere. Per la maggior parte delle organizzazioni, ogni minuto di inattività si traduce in una perdita di denaro. Un sondaggio ha dimostrato che l’attacco ransomware medio costa 133.000 dollari, inclusi tempi di inattività, pagamenti di riscatti, costi di rete, manodopera, costi dei dispositivi e opportunità perse. Per il 5% degli intervistati, il costo è stato compreso tra 1,3 milioni di dollari e 6,6 milioni di dollari. La maggior parte delle vittime di ransomware è stata colpita in media due volte, il che indica l’importanza di una risposta efficace. Una buona risposta può ridurre significativamente le possibilità di essere colpiti di nuovo. Molti attacchi ransomware hanno richieste con limiti di tempo brevi, quindi è necessario agire rapidamente per salvare i dati. Allo stesso tempo, è importante mantenere la calma. Questa guida ti darà un’idea generale di quali misure devono essere adottate in caso di attacco ransomware. I passaggi seguenti sono alcune best practice che il nostro team ha sviluppato dopo aver aiutato numerosi clienti a ripristinare le loro operazioni dopo gli attacchi ransomware.

 

1. Niente panico.

È facile arrabbiarsi per l’improvvisa interruzione degli affari, ma non servirà a nulla. Ricorda che molte organizzazioni sono state colpite da attacchi ransomware e ne sono riuscite a passare. Rimanere in uno stato d’animo calmo renderà più facile fare ciò che deve essere fatto. Adottare tutte le misure appropriate piuttosto che affrettare una risposta mal organizzata può effettivamente ridurre il costo complessivo del ripristino e proteggerti da ulteriori attacchi in futuro.

 

2. Scollegare i dispositivi infetti.

Di solito, una richiesta di riscatto non apparirà fino a quando il ransomware non avrà infettato tutti i dispositivi a cui può accedere. È comunque una buona pratica disconnettere i computer infetti, perché il ransomware può potenzialmente diffondersi in base all’attività di rete. Se noti il ransomware prima che venga fatta la richiesta, è ancora più importante agire rapidamente per impedirne la diffusione. Nel momento in cui noti il malware, immediatamente:

  • Disconnetti tutte le unità dalla rete.
  • Spegni il Wi-Fi, il Bluetooth e scollega i cavi Ethernet.
  • Se possibile, spegnere l’intera rete.
  • Informa i lavoratori remoti connessi alla rete infetta e chiedi loro di disconnettere e spegnere i loro sistemi.

 

3. Avvisa il tuo fornitore di servizi IT e/o il reparto IT.

Il ransomware impiega tempo per diffondersi in un sistema, quindi se rilevi un attacco, dovresti agire immediatamente per evitare che l’infezione peggiori. Questo passaggio deve essere fatto anche prima di avvisare il reparto IT, perché ogni secondo conta. È inoltre necessario informare il fornitore di servizi IT il più rapidamente possibile. Se disponi di backup su cloud, ad esempio, l’infezione potrebbe essersi già diffusa ai tuoi backup. Spetterà al fornitore di servizi fermare l’attacco. Agire in fretta può fare la differenza tra essere costretti a pagare un riscatto o meno. Se la tua organizzazione ha un reparto IT, è meglio lasciare che sia lui a gestire la risposta al ransomware come descritto nei passaggi seguenti. Dovranno accedere al sistema in modo da impedire la diffusione del ransomware. Se la tua organizzazione non dispone di un reparto IT, potrebbe essere meglio assumere un aiuto esterno. Prima che Crypt fosse specializzata in ransomware, molti dei nostri clienti erano piccole e medie aziende senza un reparto IT dedicato.

 

4. Documenta l’attacco.

Fai uno screenshot o una fotografia di qualsiasi richiesta di riscatto. Inoltre, fai uno screenshot dell’aspetto dei file crittografati. Assicurati di annotare l’ora esatta in cui è stato scoperto l’attacco. Se possibile, scaricare copie dei log di sistema e dei log del server. Ci sono diversi motivi per cui è necessario documentare attentamente l’attacco. In primo luogo, può aiutare a determinare quale tipo di ransomware ti ha colpito. Con alcune versioni precedenti del ransomware, sono disponibili strumenti di decrittazione che possono aiutare a recuperare i dati. Nella stragrande maggioranza dei casi, tuttavia, non esiste una via d’uscita facile, ma conoscere il tipo di ransomware può aiutare la polizia a catturare gli aggressori in un secondo momento. Se la tua organizzazione ha una polizza assicurativa contro gli attacchi informatici, potrebbe essere necessaria una documentazione completa per presentare un reclamo.

 

5. Avvisare le autorità.

L’utente può essere obbligato o meno per legge a segnalare l’attacco. A seconda del paese e del tipo di violazione dei dati, potrebbe essere necessario presentare segnalazioni a più di un’agenzia governativa. Ad esempio, nell’Unione Europea, potrebbe essere richiesto di presentare una segnalazione ai sensi del Regolamento generale sulla protezione dei dati (GDPR). Negli Stati Uniti, l’Health Insurance and Portability Accountability Act (HIPAA) richiede alle aziende del settore sanitario di segnalare tutte le violazioni dei dati. Se la natura dei dati è privata o personale, come nomi utente e password, l’utente è legalmente obbligato, ai sensi del GDPR per l’Europa e potenzialmente delle leggi statunitensi, a comunicare la violazione dei dati sotto forma di comunicato stampa/e-mail ai propri colleghi e clienti, tra cui, a titolo esemplificativo ma non esaustivo:

  • Il tipo di violazione che si è verificata
  • Una data e un’ora della violazione
  • Una valutazione approfondita dei danni
  • Qualsiasi azione intrapresa dall’utente (come il pagamento del riscatto, il ripristino dai backup, la segnalazione alle autorità preposte all’applicazione della legge, ecc.)
  • Fornire azioni suggerite ai tuoi clienti (come cambiare nome utente/password, ecc.)

Essere trasparenti è importante. Sebbene sia naturale che la tua azienda soffra a causa della notizia di una violazione dei dati, più l’approccio proattivo adotti e meglio sarà per la tua organizzazione. Per una discussione più completa su questo argomento, insieme ai dettagli di contatto degli uffici competenti, consulta la nostra Guida alla conformità al ransomware.

 

6. Scopri il tipo di ransomware.

Hai sentito parlare di WannaCry? È stato uno degli attacchi ransomware più pericolosi fino ad oggi. Quando la questione è stata risolta, oltre il 25% dei sistemi del National Health Services (NHS) del Regno Unito era stato compromesso, dai server ai ventilatori! Ogni variante di ransomware è programmata in modo diverso e quindi trattata in modo diverso. Sebbene esistano miriadi di ceppi per qualsiasi ransomware, i due tipi più comuni sono:

  • Ransomware per il blocco dello schermo
  • Ransomware per la crittografia dei file

Il malware che blocca lo schermo è marginalmente più facile da risolvere e recuperare rispetto a quest’ultimo. A seconda del tipo di ransomware, potresti avere diverse opzioni.

 

7. Controlla i tuoi backup.

Il miglior scenario possibile è ripristinare il sistema a un backup precedente all’infezione. Per fare ciò, è necessario sapere quando si è verificata l’infezione in modo da non essere infettati di nuovo. È qui che i registri di sistema possono tornare utili. Ripristino configurazione di sistema non è generalmente una buona soluzione per il ransomware, perché è possibile ripristinare un’immagine del disco che contiene elementi del malware nascosti in profondità nel file system. In alcuni casi, il ransomware può anche infettare i backup. In questo caso, c’è ben poco che puoi fare oltre a cedere alle richieste degli aggressori, o cancellare il tuo sistema e accettare la perdita dei tuoi dati.

 

8. Trova la causa principale dell’attacco ransomware.

In entrambi i casi, è necessario sapere come si è verificata l’infezione. Sia che tu paghi il riscatto o ripristini i tuoi dati con un backup, se non trovi la causa dell’attacco sei a rischio di un’altra infezione. La maggior parte degli attacchi ransomware inizia tramite phishing o exploit. Gli attacchi di phishing di solito avvengono sotto forma di e-mail o sito web. Gli hacker possono impersonare aziende o agenzie governative rispettabili imitando l’aspetto delle loro e-mail o siti Web e quindi indurre i dipendenti a fare clic su un collegamento o scaricare un allegato contenente il malware. C’è una buona risorsa sulla prevenzione del phishing qui. Se l’infezione da ransomware si è verificata a causa di una vulnerabilità nel tuo sistema, dovrai correggere tale vulnerabilità prima di ripristinare i tuoi dati. Molte vulnerabilità si verificano a causa dell’utilizzo di versioni precedenti del software, quindi è necessario tenersi aggiornati con exploit e patch per ridurre al minimo il rischio.

 

I passaggi 9-14 sono spiegati in dettaglio nella guida completa.

 

Scarica subito la guida completa gratuitamente.